标题:
木马杀客骗人行径总结!
[打印本页]
作者:
jiajia007
时间:
2006-12-22 16:39
标题:
木马杀客骗人行径总结!
最近大家一直在讨论木马杀客行骗与否,我现在就将我做的测试及测试过程中发生的一些事件进行一次总结,是否行骗,大家一看便知分晓:
测试一:
NO1、选取了网上盛传的那个名为Virus-2005-Test的前三个木马文件,如下图所示:
NO2、木马杀客最新的“病毒库”可以识别并“隔离”,如下图所示:
NO3、这是三个木马文件的MD5值,如下图所示:
NO4、这是第一个木马文件1.EXE的入口点:
NO5、将该文件的入口点加一之后保存(这是做免杀的最基本的东西),如下图所示:
NO6、同样的办法也修改另两个文件的入口点,修改入口点之后,MD5值也随之改变如下图所示:
NO7、再用木马杀客去扫描,已经没办法扫到,如下图所示:
NO8、再将第一个木马文件的入口点改回去,如下图所示:
NO9、看到没有改为起初的入口点,如下图所示:
NO10、同样的办法也将其他两个木马的入口点改回去,看到没有,就算再将入口点改回去,MD5还是和原来的不一样了。如下图所示:
NO11、再用木马杀客扫,还是扫不到。如果真如木马杀客作者在主页上吹嘘的那样,木马杀客靠特征码识别的话,怎会将入口点加1修改,然后在改回去以后,就无法识别了呢。所以,真相就是木马杀客就是靠的MD5+文件名识别。如下图所示:
木马杀客作者在其主页上大吹特吹其采用了特征码和传统的病毒库识别木马的方法,很显然,这是一个天大的骗局:
NO12、选取了木马杀客的三个主文件。如下图所示:
NO13、改名字为灰鸽子的服务端名字。如下图所示:
NO14、木马杀客立即六亲不认,将其“隔离”之。卡到这里大家又该明白了一点,木马杀客还靠文件名来识别。如下图所示:
测试二:
NO1、大家只要打开木马杀客的安装目录下,找到tmp这个目录,将其中的ZY.ENX改为ZY.TXT。如下图所示:
NO2、大家就可以发现这里记录了大量的MD5值,我将第上面第一个测试中的1.EXE初始的MD5在这个文件里搜索,还真的搜到了哟。但是你将后几次的MD5值进行搜索,是搜不到的,因为那还没有被作者的这个“病毒库”所收录,所以也就复发查到木马了。如下图所示:
NO3、同理将该目录下另一个NAME.ENX文件改名为NAME.TXT,打开后,你也可以看到有很多的可执行文件名。如下图所示:
NO4、选取了一个灰鸽子的服务端名G_server.dll(也就是测试一中用到的木马名),结果也搜到了。如下图所示:
NO5、将TMP目录下的NAME.ENX和ZY.ENX删除之后,启动木马杀客只要点击扫描硬盘,就会出现初始化杀毒引擎的提示。如下图所示:
NO6、而所谓的初始化引擎,不过就是将作者打包存在木马杀客目录下的virus.dat文件中保存的NAME.ENX和ZY.ENX解压缩后,在TMP目录下重写生NAME.ENX和ZY.ENX文件,而这个,木马杀客作何却宣称这两个文件起到什么木马杀客启动加速的作用,谎话说到这个地步,真是厚颜无耻,这两个文件其实就是木马杀客所谓的"病毒库"!成如下图所示:
病毒库生成中:
病毒库生成中:
病毒库生成:
NO7、还有木马杀客目录下的那个skjm.dat文件,被瑞星报为木马的同时,卡巴也有该文件键盘操作的提示,大家看,在10月15日发布木马杀客的时候,该文件的体积是12KB。如下图所示:
NO8、但被瑞星报为木马之后,作者迅速发布了一个新的skjm.dat文件,体积是122KB。如下图所示:
NO9、为何文件体积有了如此大的改变,原因就是,新的skjm.dat文件,作者加了ASP的壳来躲避瑞星的追杀。如下图所示:
测试三:
NO1、木马杀客的作者一直声称MMSK是其网站原传的反木马工具,但是我却发现这个所谓的“原创作品”与木马专家这个软件,有着说不清道不明的关系。如下图所示:
NO2、下载了木马专家2006版并安装。如下图所示:
NO3、木马专家目录下的INDEX.NEX和MD5.NEX文件和木马杀客TMP目录下的NAME.ENX和ZY.ENX文件有着异曲同工之妙。如下图所示:
NO4、我提取木马杀客目录下的NAME.ENX和ZY.ENX文件。如下图所示:
NO5、将其改名为INDEX.NEX和MD5.NEX文件。如下图所示:
NO6、将这个两个文件覆盖木马专家目录下的同名文件。如下图所示:
NO7、木马专家依旧能启动,看来二者的“病毒库”是通用的哟,木马专家的这个注册表备份,用惯了木马杀客的朋友,一定很眼熟吧。如下图所示:
NO8、看到没有,木马杀客的“病毒库”完全可以被木马专家调用。如下图所示:
NO9、看到没有二者的“病毒库”全部是一样的。如下图所示:
在来一个二者的病毒库的对比,只要你能在木马杀客中找到的,在木马专家的病毒库里一样搜索得到!
NO10、连MD5也是一样的。如下图所示:
NO11、老办法了弄了几个空文件名,改名字为图中的木马名字。如下图所示:
NO12、换为木马杀客“病毒库”的木马专家照杀不误。如下图所示:
NO13、还有一点,木马专家动作实在是够快的。我曾经到二者的论坛上把这个帖子中的第三个测试发到木马杀客和木马专家的论坛上,并质问二者到底谁在抄袭谁,两家的回答就颇有意思了。木马杀客坚持说其是自己的原传软件,木马专家却肯定的说,木马杀客是有人抄袭了木马专家的产物,其中的是非曲直,真的让人很难分辨!但就在帖子发出不久,木马专家迅速在11月28日发布的版本中,做了“优化”,那些能在11月12日版本中识别的“木马”(空字节的文件),而到了28日的版本中就不能识别了。如下图所示:
总之还是那句话,骗子就是骗子,不管你们的骗术多高明,骗局多精巧,但人民群众的眼睛是雪亮的,多高明的骗局总有被戳穿的一天!
虽然骗子在一次又一次的狡辨,但是大家可以看的出来他的辨解是多么的苍白无力,虽然骗子一直打着免费的旗号,但是大家都能看的出来他利用杀客赚亲情钱,利用木马专家赚昧心钱。
最后给大家献上电脑报第50期的董师傅在对木马杀客进行评测后的一段总结:现在的反木马软件基本上可以分为两大阵营:全能力的杀毒软件,通杀所有病毒和木马。乍一看,木马专杀软件“术业有专攻”似乎更胜一筹,用户容易对之产生信任感。然而通过验证,国内部分木马病毒专杀工具的能力让人怀疑,不可轻信软件作者的一面之词,用户应该慎用这类软件,以免感染木马病毒。 希望大家的电脑都能平安到永久!!!
附件 1:
修改2.jpg
(2006-12-22 16:41, 13.92 K,下载次数: 68)
作者:
linovo
时间:
2006-12-22 17:04
楼主很有意思啊,今天中午左右吧,刚刚在江民论坛看到相同的帖子(详情请看
http://forum.jiangmin.com/dispbb ... D=463358&page=1
),看来楼主要给木马杀客做做“广告”了。
我希望楼主跟木马杀客的作者没有恩恩怨怨(开个玩笑,用周星驰电影的话来说,但愿木马杀客的作者没欠你钱未还)。如果纯粹是技术讨论,我觉得微点和广大网友都是欢迎的,大家对事不对人嘛。
假如帖子都是楼主写的,水平挺高啊。
[
Last edited by linovo on 2006-12-22 at 17:19
]
作者:
linovo
时间:
2006-12-22 17:18
版主不仅回帖快,连移帖也快,一转眼帖子就跑了。^_^
移到灌水区,讨论气氛肯定没这么热闹了。唉,要下班了,楼主有兴趣的话,明天聊。
[
Last edited by linovo on 2006-12-22 at 17:21
]
作者:
囚中城
时间:
2006-12-22 20:00
呵,微点论坛嘛,讲微点就好了,当然总版主也不想 用户的讨论转变面2个杀软的攻击
作者:
微点专家
时间:
2006-12-22 21:53
这个事早就知道了,这东西是用易语言编写的。在易语言论坛很早就被揭发的了。
作者:
风fzq
时间:
2006-12-22 22:37
标题:
?
《木马清道夫》怎么样?
作者:
linovo
时间:
2006-12-23 16:47
木马杀客未来可能有两个结局:
1、在众多揭露性的帖子、评论的狂轰滥炸下,元气大伤,每况愈下,以至在地球上消失。
2、木马杀客的作者知耻而后勇,痛定思痛,闭关改进木马查杀技术,来次凤凰涅槃。但木马杀客要想翻身真的很难啊!!杀毒软件不同于其他的软件如图像浏览、系统优化等等,它的门槛是很高的,是来不得半点虚假的。
[
Last edited by linovo on 2006-12-23 at 16:52
]
作者:
无敌小子
时间:
2006-12-23 22:19
支持国内三剑客!他们才够力!
作者:
qq2008444
时间:
2007-7-23 17:36
Quote:
Originally posted by
风fzq
at 2006-12-22 22:37:
《木马清道夫》怎么样?
不怎么样
作者:
jobcreep
时间:
2007-7-23 17:53
微点怎么样?哈哈
作者:
微点专家
时间:
2007-7-23 17:55
Quote:
Originally posted by
jobcreep
at 2007-7-23 17:53:
微点怎么样?哈哈
不告诉你
欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)
bbs.micropoint.com.cn
修改2.jpg (2006-12-22 16:41, 13.92 K,下载次数: 68)
